【跨境合规】欧盟《数字市场法案》(DMA)规范解读

（一）核心主体：守门人（Gatekeeper）

1.认定标准（第三条）

￮ 定性要件（需同时满足）：对欧盟内部市场有重大影响；提供的核心平台服务是商业用户触达终端用户的重要门户；已占据稳固持久地位或可预见近期将占据该地位。

￮ 定量推定阈值（满足即推定符合定性要件）：过去三年欧盟境内年营业额≥7.5亿欧元，或上一财年市值/公平市场价值≥750亿欧元且在至少3个成员国提供同一核心平台服务；上一财年拥有≥4500万欧盟月活跃终端用户+≥1万欧盟年活跃商业用户；连续三年满足上述用户阈值。

￮ 例外指定：未达定量阈值但完全满足定性要件的企业，欧盟委员会可通过市场调查程序指定其为守门人，考量因素包括企业规模、网络效应、数据优势、用户锁定效应、纵向整合等。

2.适用范围：无论守门人设立地或居住地为何，只要向欧盟境内商业用户或欧盟境内设立/居住的终端用户提供核心平台服务，即适用本法案。

3.核心平台服务范围（第二条）：涵盖在线中介服务、在线搜索引擎、在线社交网络服务、视频分享平台服务、非号码绑定型人际通信服务、操作系统、网页浏览器、虚拟助手、云计算服务、在线广告服务（含广告网络、交易平台等）。

（二）其他相关主体

• 商业用户：以商业/专业身份使用核心平台服务向终端用户提供商品/服务的自然人或法人。

• 终端用户：以非商业身份使用核心平台服务的自然人或法人。

• 第三方服务提供商：包括应用软件开发者、广告商、发布商、其他平台服务提供商等。

• 成员国主管当局、欧盟委员会、欧盟法院、数字监管高级别小组等监管与司法主体。

（一）核心义务（第五条-第七条）

1.数据与隐私保护义务

￮ 禁止为在线广告目的处理第三方服务终端用户个人数据，禁止未经终端用户特定同意合并、交叉使用不同服务的个人数据，禁止自动登录合并个人数据。

￮ 仅可收集和交换实现非号码绑定型人际通信服务互操作所必需的终端用户个人数据，且需完全遵守数据保护法规。

2.公平交易义务

￮ 不得阻止商业用户通过第三方中介或自有渠道以不同价格/条件向终端用户提供商品/服务。

￮ 允许商业用户免费向终端用户传达推广要约并订立合同，允许终端用户通过商业用户应用软件访问已获取的内容、订阅等。

￮ 不得要求用户订阅/注册其他核心平台服务作为使用某一核心平台服务的条件。

￮ 对商业用户访问应用商店、搜索引擎、社交网络服务适用公平、合理、非歧视的通用准入条件，并发布该条件及替代性争议解决机制。

3.服务互操作与开放义务

￮ 非号码绑定型人际通信服务需按期限实现端到端文字消息、附件共享、语音/视频通话（含群组功能）的互操作，保留同等安全等级（含端到端加密）。

￮ 允许并技术支持终端用户便捷卸载操作系统上的应用软件（必要软件除外）、修改默认设置（含首次使用时提供服务提供商选择清单）。

￮ 允许第三方应用软件/应用商店在其操作系统上安装、运行并互操作，允许通过核心平台服务以外途径访问，不得阻止第三方提示用户设置默认应用。

￮ 免费向服务提供商、硬件提供商、商业用户开放操作系统/虚拟助手的软硬件功能互操作权限，权限水平与自有服务/硬件等同。

4.信息披露义务

￮ 应广告商请求，免费每日提供广告价格、费用、发布商报酬（经同意）及计算指标，发布商不同意时提供每日平均报酬。

￮ 应发布商请求，免费每日提供报酬、费用、广告商价格（经同意）及计算指标，广告商不同意时提供每日平均价格。

￮ 向广告商、发布商及其授权第三方免费开放流量效果衡量工具及独立核验所需数据（含汇总及非汇总数据）。

￮应终端用户请求，免费提供数据可携性工具及持续实时数据访问；应商业用户请求，免费提供其及相关终端用户产生的数据访问权限（个人数据需终端用户同意）。

5.禁止滥用优势地位义务

￮ 不得使用商业用户的非公开数据（含其客户数据）与商业用户竞争。

￮ 在排名、索引、抓取环节，不得对自有服务/产品给予比第三方更优惠待遇，适用透明、公平、非歧视条件。

￮ 不得技术或其他方式限制终端用户在不同应用软件/服务间切换与订阅的能力。

￮ 不得要求用户使用其自有身份认证服务、网页浏览器引擎、支付服务及相关支持技术服务。

（二）专项合规义务

1.合规职能设立（第二十八条）：设立独立于业务部门的合规职能部门，配备合规官（含独立高级管理人员担任的负责人），具备充分权限、资源，直接向管理机构汇报，负责人任免需经管理机构批准；合规官负责组织督导合规措施、提供咨询、监督承诺履行、配合欧盟委员会工作。

2.报告与审计义务（第十一条、第十五条）：被指定为守门人后6个月内提交合规措施报告及非保密摘要，至少每年更新；6个月内提交经独立审计的消费者画像技术说明文件，至少每年更新并公开概要。

3.经营者集中告知义务（第十四条）：拟开展涉及核心平台服务、数字领域其他服务或具备数据收集能力的经营者集中，无论是否需申报，均需在实施前告知欧盟委员会，提供集中所涉企业、营业额、用户数据等信息；集中后新增核心平台服务满足用户阈值的，需在2个月内告知。

4.反规避义务（第十三条）：不得通过合同、商业、技术等方式拆分核心平台服务规避定量阈值；不得实施任何削弱合规效果的行为，不得增加商业用户获取数据处理同意的难度，不得降低行使权利用户的服务质量或增加权利行使难度。

（一）禁止性规制行为

1. 数据滥用行为：合并/交叉使用用户个人数据、滥用商业用户非公开数据竞争、过度收集数据等。

2. 不公平竞争行为：排名歧视、强制搭售自有服务、限制用户多平台使用、阻止商业用户多渠道经营、设置不合比例的服务终止条件等。

3. 限制市场可竞争性行为：拒绝互操作、限制第三方应用安装/运行、阻碍数据可携、规避守门人认定标准、拒绝配合调查等。

4. 侵害用户权利行为：限制用户选择权、知情权、申诉权，降低服务质量，操控用户决策等。

（二）监管与调查相关规制行为

1. 未按要求提供信息、提供虚假/不完整/误导性信息。

2. 拒绝接受欧盟委员会的实地检查、访谈等调查措施。

3. 未遵守欧盟委员会的临时措施、救济措施、细化合规措施等。

4. 违反保密义务，泄露履职中获取的职业保密类信息。

（一）行政责任

1.罚款（第三十条）

￮ 一般情形：故意或过失违反核心义务、细化措施、救济措施、临时措施、绑定承诺的，罚款不超过上一财年全球总营业额的10%。

￮ 重复侵权：8年内就同一核心平台服务实施相同或同类侵权的，罚款最高不超过上一财年全球总营业额的20%。

￮ 程序性违规：未按要求提供信息、报备、配合调查、设立合规职能等，罚款不超过上一财年全球总营业额的1%。

2.周期性滞纳金（第三十一条）：未履行合规义务的，按日计收不超过上一财年全球日均营业额5%的滞纳金，直至履行义务；履行后可申请降低滞纳金金额。

3.救济与限制措施（第十八条）：系统性不合规的，可施加行为性或结构性救济措施，包括特定期限内禁止开展相关经营者集中。

4.临时措施（第二十四条）：存在严重且不可弥补损害风险的紧急情形，欧盟委员会可基于表面证据下达临时措施令。

5.承诺约束（第二十五条）：守门人提交的合规承诺可被赋予法律约束力，违反承诺将承担相应法律责任；承诺无效或未履行时，欧盟委员会可重新启动程序。

（二）程序与执行后果

1.调查与程序启动：欧盟委员会可自行启动或应请求启动市场调查、合规审查程序，享有信息请求、访谈、实地检查、封存文件等职权；成员国主管当局可协助调查，但其调查权受欧盟委员会程序优先约束。

2.时效规定（第三十二条、第三十三条）：处罚权时效为5年，自侵权行为实施/终止之日起算；执行权时效为5年，自决定生效之日起算，调查行为、强制执行行为可中断时效，法院审理期间时效中止。

3.司法审查（第四十五条）：欧盟法院对罚款、滞纳金决定拥有无上限审查权，可撤销、减轻或提高处罚金额；成员国法院不得作出与欧盟委员会生效决定相悖的判决。

（三）民事救济

•代表性诉讼：(EU)2020/1828号指令适用于针对守门人侵害消费者集体利益的代表性诉讼（第四十二条）。

•举报人保护：(EU)2019/1937号指令适用于本法案项下违规行为的举报及举报人保护（第四十三条）。

（一）立法核心目标

 通过统一规则消除数字市场壁垒，保障市场可竞争性与公平性，平衡守门人、商业用户、终端用户利益，促进欧盟内部市场正常运行，同时维护数据隐私与安全。

（二）制度设计亮点

1.“定性+定量”的守门人认定机制：既通过量化阈值明确监管对象，又保留例外指定条款，避免遗漏具有市场支配力的企业，兼顾确定性与灵活性。

2.义务导向的规制逻辑：以具体、可操作的合规义务替代抽象原则，直接明确守门人“不可为”与“必须为”的行为边界，降低执法与合规成本。

3.全链条监管体系：涵盖事前（合规职能、报告义务）、事中（调查权限、临时措施）、事后（处罚、救济、司法审查）全环节，形成闭环监管。

4.技术中性与安全平衡：在要求互操作、开放数据的同时，允许守门人采取严格必要且合比例的措施保障系统完整性、安全性与隐私保护，避免“一刀切”。

（三）关键适用边界

1.排除适用领域：不适用于电子通信网络，及除非号码绑定型人际通信服务外的电子通信服务；不影响《欧盟运行条约》竞争规则、经营者集中控制规则的适用。

2.成员国权限限制：成员国不得对守门人增设额外义务，其主管当局不得作出与欧盟委员会决定相悖的决定，需与欧盟委员会协同执法。

3.义务豁免与中止：基于公共卫生、公共安全理由可豁免特定义务；因超出控制的特殊情形危及经营可行性时，可申请中止特定义务，均需欧盟委员会审查并定期复核。

（四）合规与执法要点

1.守门人需在被指定后6个月内履行全部合规义务，合规措施需符合数据保护、网络安全、消费者保护等相关法律。

2.欧盟委员会享有广泛调查权，包括访问数据、算法、测试信息，实地检查，封存文件等，企业拒绝配合将面临高额罚款。

3.数字监管高级别小组将提供专业咨询，推动跨领域监管一致性，其评估报告可能影响规则修订与执法方向。

4.法案自2023年5月2日起全面适用，部分条款（如授权行使、高级别小组设立）自2022年11月1日起适用，举报与代表性诉讼相关条款自2023年6月25日起适用。